Як перевірити порт у локальній мережі онлайн. Різні прийоми сканування портів

І вдома, і на роботі ми постійно стикаємось із комп'ютерними мережами. Простий Wi-Fi роутер та підключений до нього лаптоп – вже локальна мережа. В офісах у загальну мережу часто виявляються об'єднаними безліч пристроїв – роутери, комп'ютери (настільні та ноутбуки), планшети та смартфони, принтери, сканери, мережеві накопичувачі тощо. Користуючись спільним підключенням до мережі, ми часто навіть не здогадуємося про те, які ще пристрої є в нашій локальній мережі.

Щоб визначити, які комп'ютери (чи інше обладнання) використовують спільну з нами мережу, служать IP-сканери. IP-адреса (айпі-адреса, скорочення від англ. Internet Protocol Address) - унікальна мережна адреса вузла в комп'ютерній мережі, побудованої за протоколом IP. … у разі роботи в локальній мережі потрібна унікальність адреси в межах мережі – Вікіпедія. Нижче ми розглянемо кілька безкоштовних програм – IP-сканерів: Free IP Scanner, Free Port Scanner, 10-Страйк: Сканування Мережі, Advanced IP Scanner, Angry IP Scanner.

Free IP Scanner.

Free IP Scanner 2.1 – програма для швидкого сканування IP-адрес та портів. Призначена для управління та моніторингу мереж як системними адміністраторами, так і звичайними користувачами. У Free IP Scanner 2.1 використана система багатопотокового сканування, що дозволяє дуже швидко виявляти сотні комп'ютерів, підключених до мережі. Для кожного з виявлених комп'ютерів визначається MAC-адреса, NetBIOS та відкриті порти.

До безперечних плюсів Free IP Scanner можна віднести:

  • швидкість сканування IP-адрес та портів;
  • простий, зрозумілий інтерфейс;
  • широкі можливості настроювання сканування.

На сучасних комп'ютерах Free IP Scanner 2.1 працює швидко та стабільно, проте запуск цієї програми на старих ПК може значно уповільнити їхню роботу.

Free Port Scanner.

Free Port Scanner 3.1.5 – безкоштовна програма, що дозволяє швидко просканувати вибрані порти у певному діапазоні IP-адрес.

Для початку сканування потрібно вказати IP-адресу та порти, які будуть перевірятися (за замовчуванням задана IP-адреса 192.168.0.1 і порти 21-23, 25, 53, 80, 110, 135, 137-139, 443, 445, 1433, 3128, 3306, 8080). Процес сканування протікає досить швидко, у нижній частині вікна програми буде відображено докладну інформацію про кожен із зазначених портів:

  • IP-адреса;
  • номер порту;
  • ім'я порту;
  • статус порту;
  • опис.

На жаль, іноді робота програми Free Port Scanner 3.1.5 на комп'ютері під керуванням операційної системи Windows 7 призводила до зависання ПК, доводилося запускати Диспетчер завдань (комбінація CTRL+Alt+Delete) для зупинення Free Port Scanner.

10-Страйк: Сканування Мережі.

10-Страйк: Сканування Мережі – безкоштовний мережевий сканер, який дозволяє виявляти всі пристрої (комп'ютери, сервери та хости), підключені до локальної мережі.


Сканування мережі здійснюється багатопоточно, що дозволяє досить швидко виявити всі пристрої, підключені до локальної мережі. Підтримується безліч протоколів, зокрема ICMP-пінг, пошук відкритих TCP-портів, NetBios, SNMP, UPnP.

Крім виявлення мережевих пристроїв, за допомогою 10-Страйк: Сканування Мережі можна також:

  • переглядати інформацію про виявлені комп'ютери (встановлені програми, реєстр Windows, запущені процеси та служби);
  • вмикати та вимикати комп'ютери по мережі;
  • знаходити відкриті порти;
  • отримувати інформацію про MAC-адреси.

Advanced IP Scanner.

Advanced IP Scanner – безкоштовна програма, призначена для швидкого багатопоточного сканування локальної мережі. Advanced IP Scanner дозволяє зібрати велику кількість інформації про всі пристрої, підключені до мережі (у тому числі і про Wi-Fi-роутери) і отримати доступ до спільних папок та інших ресурсів.


До переваг Advanced IP Scanner можна віднести:

  • швидкість сканування;
  • максимальна кількість інформації про кожен мережевий пристрій;
  • можливість вмикати та вимикати комп'ютери по мережі;
  • гарний та зручний інтерфейс.

Результати сканування, отримані Advanced IP Scanner, можна зберегти у вигляді фала форматів HTML або CSV.

Angry IP Scanner.

Angry IP Scanner – безкоштовна програма з відкритим вихідним кодом для сканування IP-адрес та портів. Ця програма працює на комп'ютерах під керуванням операційної системи Windows, Linux, Mac OS X.


Angry IP Scanner пінгує всі IP-адреси та визначає їх статус. По кожній IP-адресі збирається дані про MAC-адресу, хост, відкриті порти. Крім того, відображається інформація з NetBIOS (ім'я комп'ютера та робочої групи, користувач). Для прискорення сканування використано багатопоточну технологію. Результати сканування можна експортувати до файлів форматів CSV, TXT, XML.

Функціональні можливості Angry IP Scanner можна розширювати за допомогою плагінів.

Програми - мережні сканери в першу чергу призначені для мережевих адміністраторів та IT-фахівців, але й простий користувач комп'ютера може отримати користь від застосування IP-сканера. Наприклад, за допомогою мережевого сканера можна виявити халявщика, який підключився до нашого Wi-Fi-роутера і використовує наше Інтернет-підключення, або дізнатися, які пристрої підключені до офісної мережі - з цікавості, звичайно.

Сканування мережі на безпеку краще розпочинати з перевірки доступності портів. Для цих цілей найчастіше використовують спеціальне ПЗ, що сканує порти. Якщо воно відсутнє, на допомогу прийде один із онлайн-сервісів.

Сканер портів призначений для пошуку хостів у локальній мережі з відкритим інтерфейсом. Здебільшого його використовують або системні адміністратори, або зловмисники виявлення вразливостей.

Описані послуги не вимагають реєстрації та прості у використанні. Якщо доступ до Інтернету здійснюється за допомогою комп'ютера – сайти відобразять відкриті порти вашого хоста, при використанні маршрутизатора для роздачі інтернету послуги покажуть відкриті порти роутера, але не комп'ютера.

Спосіб 1: Portscan

Особливістю сервісу можна назвати те, що він пропонує користувачам досить докладну інформацію про процес сканування та призначення того чи іншого порту. Працює сайт на безоплатній основі, можна перевірити працездатність усіх портів разом або вибрати певні.


Окрім перевірки портів, сайт пропонує виміряти пінг. Зверніть увагу, що ведеться сканування тільки тих портів, які вказані на сайті. Крім браузерної версії користувачам пропонується безкоштовна програма для сканування, а також розширення для браузера.

Спосіб 2: Hide my name

Більш універсальний засіб для перевірки доступності портів. На відміну від попереднього ресурсу, сканує всі відомі порти, крім того, користувачі можуть провести сканування будь-якого хостингу в інтернеті.

Сайт повністю перекладено російською мовою, тому проблем із його використанням не виникає. У налаштуваннях можна увімкнути англійську або іспанську мову інтерфейсу.


На сайті можна дізнатися свою IP-адресу, перевірити швидкість інтернету та іншу інформацію. Незважаючи на те, що він розпізнає більше портів, працювати з ним не зовсім комфортно, а підсумкова інформація відображається занадто узагальнено і незрозуміло для рядових користувачів.

Спосіб 3: Тест IP

Ще один російськомовний ресурс, призначений для перевірки портів комп'ютера. На сайті функція позначається як сканер безпеки.

Сканування можна проводити у три режими: звичайний, експрес, повний. Від вибраного режиму залежить загальний час перевірки та кількість виявлених портів.


Процес сканування займає лічені секунди, при цьому користувачеві доступна лише інформація про відкриті порти, ніяких статей, що пояснюють, на ресурсі немає.

Якщо вам потрібно не тільки виявити відкриті порти, але й дізнатися, для чого вони призначені, найкраще скористатися ресурсом Portscan. На сайті інформація представлена ​​у доступному вигляді, і буде зрозуміла не лише системним адміністраторам.

Сам процес називається сканування портівабо (у разі, коли здійснюється перевірка багатьох хостів) сканування мережі. Сканування портів може бути першим кроком у процесі злому або попередження злому, допомагаючи визначити потенційні цілі атаки. За допомогою відповідного інструментарію шляхом відправлення пакетів даних та аналізу відповідей можуть бути досліджені працюючі на машині служби (Web-сервер, FTP-сервер, mail-сервер, і т. д.), встановлені номери їх версій і операційна система.

Енциклопедичний YouTube

    1 / 5

    Сканування мережі за допомогою Nmap

    Nmap для початківців - Урок 1 | Timcore

    Пишемо простий та швидкий сканер IP адрес та відкритих портів на Ruby (з використанням потоків)

    Advanced IP Scanner 2.3 - як легко просканувати мережу та дізнатися IP, Mac-адреси всіх пристроїв.

    Як Перевірити Чи відкрито Порт засобами Windows

    Субтитри

Протокол TCP/IP

Деякі сканери портів шукають лише найчастіше використовувані, або найуразливіші порти певного хоста чи набору хостів.

Результат сканування порту зазвичай підпадає під одну з трьох категорій:

  • Відкритий, або з'єднання прийнято(англ. open): хост надіслав відповідь, що підтверджує, що хост «слухає» - приймає з'єднання на даний порт.
  • Закритий, заборонено [ ] , не слухає(closed ): хост надіслав відповідь, що показує, що з'єднання на даний порт будуть відкинуті.
  • Заблоковано, відфільтрований(filtered, firewalled): від хоста не надійшло відповіді.

Уразливості, пов'язані з відкритими портами, поділяються на:

  1. проблеми з безпекою та стабільністю, пов'язані з функціонуванням програм, що надають послуги,
  2. проблеми з безпекою та стабільністю, пов'язані з операційною системою, що працює на хості.

Закриті порти можуть становити небезпеку лише за другим пунктом. Заблоковані порти нині реальної небезпеки не становлять.

Технічний бік

Технології сканування портів виходять із припущення, що хост підтримує «Протокол керування пересиланням» (ICMP), визначений RFC 792 . Хоча це в більшості випадків так, проте, хост може посилати у відповідь дивні пакети, або навіть генерувати помилкові позитивні спрацьовування, коли стек TCP/IP не відповідає RFC або був підданий змінам.

Типи сканувань

Перевірка онлайн

У ряді випадків, перш ніж розпочати власне сканування, є корисною перевірка наявності працюючої системи на цільовій IP-адресі. Це завдання може бути вирішене шляхом надсилання Echo-повідомлень протоколу ICMP за допомогою утиліти ping c послідовним перебором всіх адрес мережі або відправкою Echo-повідомлення за широкомовною адресою.
Аналізуючи трафік та відстежуючи Echo-повідомлення, що надсилаються за короткий проміжок часу всім вузлам, можна виявити спроби сканування. Замість Echo-повідомлень можуть застосовуватися TCP-сегменти з code bit RST, відповіді на неіснуючі DNS-запити. Якщо сканер отримає у відповідь ICMP Destination Unreachable пакет з кодом 1 (host unreachable), значить, вузол, що тестується, вимкнений або не підключений до мережі.

Слід мати на увазі, що (на практиці) неотримання відповіді на запити не гарантує неіснування хоста, оскільки багато системних адміністраторів заради «безпеки» йдуть на порушення мережевих стандартів.

SYN-сканування

Даний тип сканування є найпопулярнішим. Замість використання мережевих функцій операційної системи, сканер портів сам генерує IP-пакети, і відстежує відповіді на них. Цю техніку часто називають скануванням із використанням напіввідкритих з'єднань, оскільки повне з'єднання TCP/IP ніколи не відкривається. Сканер портів створює пакет SYN. Якщо порт на цільовому хості відкритий, з нього прийде SYN-ACK. Хост сканера відповідає пакету RST, тим самим закриваючи з'єднання до того, як процес встановлення з'єднання завершився.

Використання самостійно сформованих мережевих пакетів має ряд переваг, даючи скануючій програмі повний контроль над пакетами, що посилаються, і відповідями на них, затримками відповідей, і дозволяючи отримати детальні результати сканування.

Думки з приводу потенційної шкоди, що наноситься хосту, що сканується, неоднозначні. З одного боку, SYN-сканування має ту перевагу, що окремі програми ніколи не отримують вхідне з'єднання (воно обривається на етапі установки), з іншого, відправка пакета RST під час встановлення з'єднання може викликати проблеми у деяких мережних пристроїв, особливо простих, таких як мережеві принтери.

TCP-сканування

Даний простіший метод використовує мережеві функції операційної системи, і застосовується, коли SYN-сканування з тих чи інших причин неможливо. Операційна система, якщо порт відкритий, завершує триетапну процедуру встановлення з'єднання, потім відразу закриває з'єднання. Інакше повертається код помилки. Перевагою цього методу і те, що він вимагає від користувача спеціальних прав доступу. Тим не менш, використання мережевих функцій операційної системи не дозволяє проводити низькорівневий контроль, тому цей тип використовується не настільки широко.

Головним недоліком даного методу є велика кількість відкритих і відразу перерваних з'єднань, що створює навантаження на систему, що сканується, і дозволяє просто виявити активність сканера портів.

UDP-сканування

Сканування за допомогою пакетів UDP також можливе, хоча має низку особливостей. Для UDP немає поняття з'єднання і немає еквівалента TCP-пакету SYN. Проте, якщо надіслати UDP-пакет на закритий порт, система відповість повідомленням ICMP «порт недоступний». Відсутність такого повідомлення тлумачиться як сигнал відкривання порту. Однак, якщо порт блокується брандмауером, метод невірно покаже, що порт відкритий. Якщо заблоковано повідомлення ICMP про відсутність порту, всі порти будуть здаватися відкритими. Також може бути встановлене обмеження на частоту використання ICMP-пакетів, що також впливає на результати, що даються методом.

Альтернативним підходом є відправлення UDP-пакетів, специфічних для додатка, з розрахунку на отримання відповіді з рівня програми. Наприклад, надсилання запиту DNS на порт 53 призведе до відповіді, якщо за запитуваною адресою є DNS-сервер. Проблема в даному випадку полягає у наявності відповідного «пробного» пакета для кожного порту. У деяких випадках, сервіс може бути присутнім, але налаштований таким чином, щоб не відповідати на відомі «пробні» пакети.

Також можливий комбінований підхід, що поєднує в собі обидва вищезазначені методи. Так, сканування може починатися відправкою UDP-пакету для перевірки на ICMP-відповідь «порт недоступний», а потім порти з невизначеним результатом «відкритий або заблокований» можуть повторно перевірятися на відповіді, специфічні для програми.

ACK-сканування

Дане сканування застосовується для визначення, фільтрується даний порт чи ні, і особливо ефективний визначення наявності брандмауеров і з'ясування їх правил. Проста фільтрація пакетів дозволить проходження пакетів із встановленим бітом ACK (використовувані для вже встановлених з'єднань), тоді як складніші брандмауери - ні.

FIN-сканування

Деякі сервери можуть відстежити спробу SYN-сканування їх портів. Наприклад, спроба SYN-сканування може бути розпізнана за надходженням «підроблених» SYN-пакетів на закриті порти сервера, що захищається, і в разі опитування декількох портів сервер розриває з'єднання для захисту від сканування.

Сканування за допомогою FIN-пакетів дозволяє обійти подібні засоби захисту. Згідно RFC 793 , на прибув FIN-пакет на закритий порт сервер повинен відповісти пакетом RST. FIN-пакети на відкриті порти мають бути ігноровані сервером. З цієї різниці стає можливим відрізнити закритий порт від відкритого.

  • Неправомірний доступ до комп'ютерної інформації, якщо це призвело до знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі;
  • Створення, використання та розповсюдження шкідливих програм для ЕОМ;
  • Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі, що призвело до знищення, блокування або модифікацію інформації.

Регулярно у форумах, і не тільки в них, порушується питання – «Мене сканують! Що мені робити?" Причиною виникнення цього питання є модулі детектування атак, які розробники персональних файрволів вбудовують у свої продукти. Наскільки взагалі небезпечним є дане явище, чого намагається досягти атакуючий, і чи була власне атака? Щоб зрозуміти це, спробуємо спочатку розібратися - що таке порти, що таке сканування цих портів і як виконується проникнення у систему через мережу.

Попередження читачам: автори усвідомлюють, що це матеріал охоплює далеко ще не всі можливі типи мережевих загроз. Цей матеріал орієнтований на домашніх користувачів, стурбованих страшними попередженнями, якими їх радісно постачає добрий дядько Касперський (або Нортон, або ще хтось, залежно від продукту). Слід пам'ятати, що мережеві загрози не обмежуються описаними тут.

Для початку – що таке порт. Порт - це поле в tcp або udp-пакеті, що ідентифікує додаток-одержувача (і відправника, в пакеті цих полів два) пакета.

Формат пакета даних TCP-протоколу:

Формат пакета даних UDP протоколу:

Яким чином програма працює з мережею? Додаток звертається до операційної системи із запитом створення сокета. Операційна система реєструє, який додаток звертається до нього з цим запитом, і формує прив'язку додатку до сокету - виділяє порт. Цей порт служить обмінюватись інформацією за мережевими протоколами, і вся інформація, отримана з мережі порту з цим номером, надалі передається потрібному додатку.

А чи була атака? Ще одне запитання звучить приблизно так: «Чому, коли я підключаюся до FTP-сервера, файрвол починає скаржитися на сканування з боку FTP-сервера?» Типовий приклад помилкового спрацьовування. Розглянемо, як працює FTP-протокол. У FTP-протоколі використовується не одне з'єднання, а два - одне з них керуюче, друге безпосередньо передає дані. Перше (керівне) відкриває клієнт – він підключається на порт 21 сервера. Друге підключення залежить від режиму роботи клієнта. Якщо клієнт в активному режимі, він передає серверу номер порту, який сервер повинен підключитися, щоб відкрити з'єднання передачі даних. У пасивному сервері говорить клієнту, який порт клієнт повинен підключатися, щоб відкрити з'єднання передачі даних.

Як випливає з цього опису, активний режим FTP-сервер відкриває підключення до клієнта. Файрвол, а багато з них відомі параноїки, цілком може реагувати на це як на спробу атаки.

Підведемо підсумки: мережева атака в більшості випадків є атакою на будь-який доступний з мережі сервіс на вашому комп'ютері. Якщо такого сервісу у Вас немає – можна не турбуватися, що хтось Вас «зламає». У цьому випадку слід побоюватися інших загроз - віруси, malware (небажані програми), та інші внутрішні впливи. Рекомендації щодо запобігання – стандартні та описані багато разів. Встановіть антивірус, регулярно оновлюйте його, регулярно встановлюйте оновлення операційної системи, не запускайте невідомі Вам програми і так далі. Але навіть і в цьому випадку наявність персонального файрвола на комп'ютері може допомогти Вам у випадку, коли антивірус або оновлення операційної системи ще не можуть блокувати нові загрози. Просто завжди уважно читайте, що саме пропонує Вам зробити та чи інша програма, і намагайтеся зрозуміти, чи потрібно, щоб ця дія дійсно була виконана.

Хочемо зазначити, що за умовчанням у налаштуваннях Windows систем для роботи з програмами в локальній мережі, є відкриті для зовнішнього доступу «серверні» сервіси, тобто ті, до яких можна звернутися з іншого комп'ютера. Тому не варто вимикати вбудований брандмауер (файрвол), або не нехтуйте установкою сторонніх продуктів подібної функціональності.

Днем з найпопулярніших інструментів системних адміністраторів є утиліти для сканування мережі. Навряд чи можна зустріти системного адміністратора, який ніколи не використовував у своїй практиці команду ping, яка входить (у тому чи іншому вигляді) до складу будь-якої операційної системи. Дійсно, сканування мережі – це потужний інструмент, який регулярно використовується при налаштуванні мережі та мережевого обладнання, а також при пошуку несправних вузлів. Втім, окрім здійснення сканування в мережі «з мирною метою», ці утиліти є улюбленим інструментом будь-якого хакера. Більше того, всі найвідоміші утиліти для мережевого сканування були розроблені саме хакерами. Адже саме за допомогою даних утиліт можна зібрати відомості про мережеві комп'ютери, підключені до Інтернету, інформацію про архітектуру мережі, про тип мережевого обладнання, що використовується, про відкриті порти на мережевих комп'ютерах, тобто всю ту первинну інформацію, яка необхідна для успішного злому мережі зловмисниками. Ну а оскільки утиліти сканування мереж використовуються хакерами, то ці утиліти застосовуються і для з'ясування вразливих місць локальної мережі при налаштуванні (на предмет наявності відкритих портів і т.д.).

Загалом утиліти для автоматизованого сканування мереж можна умовно розділити на два типи: утиліти для сканування IP-адрес та утиліти для сканування портів. Звичайно, такий поділ дуже умовний, оскільки в переважній більшості випадків мережеві сканери поєднують у собі обидві можливості.

Сканування IP-адрес

Якщо говорити про механізми, які використовуються в утилітах сканування IP-адрес, то, як правило, йдеться про розсилання широкомовних пакетів ICMP. Утиліти відправляють пакети типу ICMP ECHO за вказаною IP-адресою і чекають на відповідний пакет ICMP ECHO_REPLY. Отримання такого пакета означає, що комп'ютер підключено до мережі за вказаною IP-адресою.

Розглядаючи можливості протоколу ICMP для збору інформації про мережу, слід зазначити, що прослуховування за допомогою утиліти ping і їй подібних – це лише верхівка айсберга. Обмінюючись ICMP-пакетами з будь-яким вузлом мережі, можна отримати значно ціннішу інформацію про мережу, ніж констатація факту підключення вузла до мережі за заданою IP-адресою.

Тут виникає закономірне питання: чи можна захиститися від такого роду сканування? Власне, все, що для цього потрібно, це заблокувати відповіді на ICMP-запити. Саме такий підхід найчастіше використовується системними адміністраторами, які дбають про безпеку своїх мереж. Однак, незважаючи на блокування пакетів ICMP, існують інші методи, що дозволяють визначити, чи підключений цей вузол до мережі.

У тих випадках, коли обмін даними за протоколом ICMP заблоковано, використовується метод сканування портів (port scanning). Просканувавши стандартні порти кожної потенційної IP-адреси мережі, можна визначити, які вузли підключені до мережі. Якщо порт відкритий (opened port) або перебуває в режимі очікування (listening mode), це означає, що за даною IP-адресою є комп'ютер, підключений до мережі.

Прослуховування мережі методом сканування портів відноситься до розряду так званого прослуховування TCP.

Захист від сканування IP-адрес

Оскільки несанкціоноване прослуховування мережі в кращому випадку викликає роздратування у системних адміністраторів, існують відповідні контрзаходи, які здатні виявити факт самого прослуховування, так і заблокувати проходження пакетів, що передаються при ping-прослуховуванні.

Як зазначалося, ICMP- і TCP-прослуховування - це загальноприйняті методи дослідження мережі перед безпосередньою спробою проникнення. Тому виявлення факту прослуховування дуже важливе з точки зору можливості отримання інформації про потенційне місце проникнення та джерело загрози.

Втім, отримати можливість своєчасного виявлення факту прослуховування мережі ще не означає вирішити проблему. Не менш важливо в цьому випадку вміти запобігти можливості прослуховування мережі. Перший крок у цьому напрямку – оцінити, наскільки важливим є обмін даними по протоколу ICMP між вузлами конкретної локальної мережі. Є безліч різноманітних типів пакетів ICMP, і згадувані вище пакети ICMP ECHO і ICMP ECHO_REPLY — лише з них. У більшості випадків немає потреби дозволяти обмін даними між вузлами мережі та Інтернетом з використанням усіх наявних типів пакетів. Практично всі сучасні брандмауери (як апаратні, так і програмні) мають можливість відфільтровувати пакети ICMP. Тому, якщо з низки причин неможливо повністю блокувати всі типи повідомлень ICMP, слід обов'язково заблокувати ті типи повідомлень, які не потрібні для нормального функціонування мережі. Наприклад, якщо в корпоративній мережі є сервер, розміщений в демілітаризованій зоні (DMZ-зона), то для нормального функціонування сервера досить дозволити ICMP-повідомлення типу ECHO_REPLY, HOST UNREACABLE і TIME EXCEEDED. Крім того, у багатьох випадках брандмауери дозволяють створювати список IP-адрес, за якими дозволено обмін повідомленнями за протоколом ICMP. У цьому випадку можна дозволити обмін повідомленнями ICMP лише в Інтернет-провайдері. Це, з одного боку, дозволить провайдеру проводити діагностику з'єднання, а з іншого ускладнить несанкціоноване прослуховування мережі.

Слід завжди пам'ятати, що, незважаючи на всю зручність протоколу ICMP для діагностування мережевих проблем, він може з успіхом використовуватися і для створення цих проблем. Дозволивши необмежений доступ до мережі за протоколом ICMP, ви дозволите хакерам реалізувати напад типу DoS.

Сканування портів

наступний тип мережевого сканування сканування портів. Механізм сканування портів заснований на спробі пробного підключення до портів TCP та UDP досліджуваного комп'ютера з метою визначення запущених служб та відповідних портів. Порти, що обслуговуються, можуть знаходитися у відкритому стані або в режимі очікування запиту. Визначення портів, що знаходяться в режимі очікування, дозволяє з'ясувати тип операційної системи, що використовується, а також запущені на комп'ютері програми.

Існує порівняно багато способів сканування портів, але для Windows найчастіше зустрічаються такі:

  • TCP-сканування підключенням (TCP connect scan);
  • TCP-сканування за допомогою повідомлень SYN (TCP SYN scan);
  • TCP нуль-сканування (TCP Null sсan);
  • TCP-сканування за допомогою повідомлень ACK (TCP ACK scan);
  • UDP-сканування (UDP scan).

Метод TCP-сканування підключенням (TCP connect scan) полягає у спробі підключення протоколом TCP до потрібного порту з проходженням повної процедури узгодження параметрів з'єднання (процедура handshake), що полягає в обміні службовими повідомленнями (SYN, SYN/ACK, ACK) між вузлами мережі.

У методі TCP-сканування за допомогою повідомлень SYN (TCP SYN scan) повного підключення до порту немає. Досліджуваному порту надсилається повідомлення SYN, і якщо відповідь надходить повідомлення SYN/ACK, це означає, що порт перебуває у режимі прослуховування. Цей метод сканування портів є більш прихованим у порівнянні з методом сканування з повним підключенням.

У методі TCP-нуль-сканування (TCP Null sсan) здійснюється відправлення пакетів з вимкненими прапорами. Досліджуваний вузол у відповідь має надіслати повідомлення RST всім закритих портів.

Метод TCP-сканування за допомогою повідомлень ACK (TCP ACK scan) дозволяє встановити набір правил, що використовуються брандмауером, і з'ясувати, чи брандмауер виконує розширену фільтрацію пакетів.

Метод UDP-сканування полягає у надсиланні пакетів за протоколом UDP. Якщо у відповідь надходить повідомлення, що порт недоступний, це означає, що порт закритий. За відсутності такої відповіді можна припустити, що порт є відкритим. Варто зазначити, що протокол UDP не гарантує доставки повідомлень, тому цей метод сканування не дуже надійний. Крім того, UDP-сканування - процес дуже повільний, у зв'язку з чим до такого роду сканування вдаються вкрай рідко.

Захист від сканування портів

Навряд чи вдасться перешкодити будь-кому спробувати сканування портів на вашому комп'ютері. Однак цілком можливо зафіксувати сам факт сканування та звести до мінімуму можливі наслідки. Для цього доцільно відповідним чином налаштувати брандмауер і відключити всі служби, які не використовуються. Налаштування брандмауера полягає в тому, щоб закрити всі порти, що не використовуються. Крім того, всі апаратні та програмні брандмауери підтримують режим виявлення спроб сканування портів, тому не варто нехтувати цією можливістю.

Утиліти для сканування мереж

WS PingPro 2.30

Платформа: Windows 98/Me/NT/2000/XP

Ціна: 80 дол.

Демо версія: 30 днів

Однією з найвідоміших утиліт для сканування IP-адрес мережі є WS PingPro 2.30 (рис. 1).

Сканер WS PingPro 2.30 дозволяє визначити список всіх IP-адрес, за якими є підключені до мережі вузли, а також з'ясувати їх імена. Крім того, сканер WS PingPro 2.30 визначає запущені на комп'ютері служби та дає можливість просканувати порти мережного комп'ютера в заданому діапазоні (у демо-версії програми цю можливість заблоковано).

Для налаштування на різні за продуктивністю мережі сканер WS PingPro 2.30 дозволяє задавати час, протягом якого очікується відповідь від хоста мережі (за замовчуванням 300 мс).

Зазначимо, що мережевий сканер – це лише одна з можливостей пакету WS PingPro 2.30. На додаток до мережного сканеру пакет WS PingPro 2.30 надає у розпорядження користувача такі утиліти, як SNMP tool, WinNet, Time tool, Throughput, Info tool та ін.

Так, утиліта SNMP tool дозволяє отримати інформацію про мережному вузлі (як правило, йдеться про комутатори та маршрутизатори), що підтримує протокол SNMP.

Утиліта WinNet дозволяє просканувати локальну мережу і відобразити NetBEUI-імена всіх вузлів мережі, доменів і ресурсів, що розділяються.

Утиліта Time tool синхронізує час локального комп'ютера із часом найближчого сервера часу.

Ця невелика діагностична утиліта дозволяє протестувати швидкість з'єднання користувача з віддаленим вузлом мережі.

Advanced IP Scanner v.1.4

Платформа: Windows

Ціна:безкоштовно

Утиліта Advanced IP Scanner 1.4 є одним із найшвидших на даний момент IP-сканерів (рис. 2). Наприклад, сканування мережі класу C займає лише кілька секунд. На додаток до IP-сканування утиліта Advanced IP Scanner 1.4 дозволяє отримати інформацію про мережні імена вузлів, а також забезпечує віддалене вимикання або перезавантаження комп'ютерів. У разі підтримки комп'ютерами функції Wake-On-Lan є можливість віддаленого включення. Зазначимо, що такі функції, як віддалене вимкнення, перезавантаження або увімкнення комп'ютерів, можуть бути реалізовані одночасно для всіх або групи мережевих комп'ютерів.

Advanced LAN Scanner v1.0 BETA

Платформа: Windows

Ціна:безкоштовно

Ще одна утиліта, що дозволяє сканувати IP-адреси, Advanced LAN Scanner v1.0 BETA (рис. 3). У порівнянні з Advanced IP Scanner 1.4 дана утиліта є поєднанням IP-сканера і сканера портів і дозволяє не тільки визначати IP-адреси, але і збирати докладну інформацію про мережеві імена комп'ютерів, про встановлену на них операційну систему, про відкриті порти, про належність користувача до тієї чи іншої групи, про користувачів, які мають санкціонований доступ до комп'ютера, і безліч іншої інформації, яка може виявитися дуже корисною як системному адміністратору, так і зловмиснику. Крім того, даний сканер має широкі можливості налаштування і дозволяє задавати кількість потоків, що одночасно виконуються, діапазон сканованих портів, а також керувати часом очікування відповіді на запит. На закінчення відзначимо, що цей сканер дозволяє підключатися до вибраного вузла або використовуючи поточний обліковий запис користувача, або задаючи ім'я користувача та пароль.

Але найголовніша перевага сканера Advanced LAN Scanner v1.0 BETA полягає в тому, що на даний момент це один із найшвидших сканерів. Додамо сюди те, що цей сканер безкоштовний, і стане зрозуміло, чому його просто необхідно мати під рукою будь-якому системному адміністратору (і не тільки йому).

Advanced Port Scanner v1.2

Платформа: Windows

Ціна:безкоштовно

Утиліта Advanced Port Scanner v1.2 (рис. 4) за своїми функціональними можливостями багато в чому схожа на Advanced LAN Scanner v1.0 BETA. Так, сканер Advanced Port Scanner v1.2 дозволяє збирати інформацію про IP-адреси вузлів, про їх мережеві імена та відкриті порти. Можливості налаштування цього сканера полягають у заданні діапазону сканованих IP-адрес та портів. Крім того, є можливість задавати кількість потоків, що одночасно виконуються, і керувати часом очікування відповіді на запит.

Зазначимо, що даний сканер, як і сканер Advanced LAN Scanner v1.0 BETA, є дуже швидкісним і дозволяє зібрати детальну інформацію про мережу в найкоротші терміни.

IP-Tools v2.50

Платформа: Windows

Ціна:безкоштовно

Пакет IP-Tools v2.50 є набір з 19 мережевих утиліт, об'єднаних загальним інтерфейсом (рис. 5). У цьому сенсі IP-сканер і сканер портів - одна з можливостей утиліти IP-Tools v2.50.

До складу пакету IP-Tools v2.50 входять:

  • Local Info - утиліта, що відображає інформацію про локальний комп'ютер (тип процесора, пам'ять і т.д.);
  • Connection Monitor - утиліта, що відображає інформацію про поточні TCP-і UDP-з'єднання;
  • NetBIOS Info - утиліта, що відображає інформацію про NetBIOS-інтерфейси локального та віддаленого комп'ютера;
  • NB Scanner - сканер мережевих ресурсів, що розділяються;
  • SNMP Scanner - сканер SNMP-пристроїв у мережі;
  • Name Scanner - сканер мережевих імен комп'ютерів;
  • Port Scanner - TCP-сканер портів;
  • UDP Scanner UDP-сканер портів;
  • Ping Scanner - IP-сканер з використанням процедури пінгування;
  • Trace утиліта для відстеження маршруту проходження пакетів;
  • WhoIs - утиліта, що дозволяє збирати інформацію про вузли в Інтернеті;
  • Finger - утиліта, що збирає та надає інформацію про користувачів віддаленого ПК за протоколом Finger;
  • NS LookUp - утиліта, що дозволяє поставити у відповідність IP-адресу та ім'я домену;
  • GetTime - утиліта, що дозволяє синхронізувати час локального ПК і заданого сервера часу;
  • Telnet - утиліта для пошуку клієнтів мережі, у яких встановлена ​​служба Telnet;
  • HTTP - утиліта для пошуку клієнтів мережі, у яких встановлена ​​служба HTTP;
  • IP-Monitor - утиліта для відображення IP-трафіку в реальному часі;
  • Host Monitor Утиліта для відстеження стану вузлів мережі (підключений/відключений).

Слід зазначити, що на відміну від розглянутих вище утиліт Advanced Port Scanner v1.2, Advanced LAN Scanner v1.0 BETA і Advanced IP Scanner 1.4, сканери, вбудовані в пакет IP-Tools v2.50, назвати швидкісними досить складно. Процес сканування займає багато часу, тому якщо ставиться завдання саме IP-сканування або сканування портів, краще використовувати більш швидкісні утиліти.

Angry IP Scanner 2.21

Платформа: Windows

Ціна:безкоштовно

Angry IP Scanner 2.21 – це невелика утиліта, що поєднує в собі IP-сканер та сканер портів (рис. 6). До безперечних переваг цієї утиліти слід віднести те, що вона не вимагає інсталяції на ПК. Крім того, вбудовані в неї сканери дуже швидкісні і дозволяють обстежити всю локальну мережу всього за кілька секунд.

Вбудований в утиліту IP-сканер пінгує кожну IP-адресу на предмет його наявності в мережі, а потім, залежно від вибраних опцій, дозволяє визначити мережне ім'я вузла, його MAC-адресу та просканувати порти.

Додаткові можливості утиліти Angry IP Scanner 2.21 можна віднести збір NetBIOS-інформації (ім'я комп'ютера, ім'я робочої групи та ім'я користувача ПК). Результати сканування можна зберігати у різних форматах (CSV, TXT, HTML, XML).

Висока швидкість сканування утиліти Angry IP Scanner 2.21 досягається за рахунок використання множини паралельних потоків. Так, за умовчанням використовуються 64 потоки, але цю кількість можна збільшити для досягнення більшої продуктивності.

SuperScan 4

Платформа: Windows 2000/XP

Ціна:безкоштовно

Утиліта SuperScan 4 (мал. 7) - це нова версія добре відомого мережевого сканера SuperScan. Дана утиліта є ще одним швидким і гнучкий сканер IP-адрес і портів. Утиліта дозволяє гнучко задавати перелік IP-адрес досліджуваних вузлів і портів, що скануються. Як і сканер Angry IP Scanner 2.21, SuperScan 4 не вимагає інсталяції на комп'ютер.

У порівнянні з попередньою версією в новому варіанті SuperScan 4 збільшено швидкість сканування, підтримується необмежений діапазон IP-адрес, покращено метод сканування з використанням ICMP-запитів, додано метод сканування портів TCP SYN та багато іншого.

При роботі зі сканером SuperScan 4 можливе як ручне введення IP-адрес сканування, так і експорт адрес з файлу. Підтримується введення одиночних адрес, діапазону адрес та діапазону у форматі CIDR (10.0.0.1/255). Крім того, IP-адреси можна вставляти безпосередньо з буфера обміну.

Незважаючи на те, що сканер SuperScan 4 чудово працює з налаштуваннями за замовчуванням, він має дуже гнучкі можливості налаштування. Зокрема, за допомогою налаштувань сканера SuperScan 4 можна призначити дослідження лише тих хостів мережі, які відповідають на запит та визначаються як присутні у мережі. У той самий час можна зобов'язати сканер досліджувати всі вузли мережі незалежно від цього, відповідають вони на ICMP-запросы чи ні.

Утиліта SuperScan 4 має вбудований UDP-сканер, що підтримує два типи сканування: Data та Data+ICMP. У методі Data досліджуваному вузлу посилаються пакети даних UDP, які вимагають відповіді сервісів, використовують добре відомі порти. У методі Data+ICMP застосовується аналогічний метод сканування. Якщо порт не відповідає повідомленням «ICMP Destination Port Unreachable», він розглядається як відкритий. Далі використовується сканування відомих закритих портів на предмет генерації ними повідомлень у відповідь. Зазначимо, що цей метод іноді може призводити до помилкових результатів, особливо якщо відповіді на ICMP-запити заблоковані.

Утиліта SuperScan 4 підтримує два типи TCP-сканування портів: TCP-connect та TCP SYN. Параметри сканера дозволяють вибрати тип сканування TCP. З можливостей налаштування сканера SuperScan 4 можна відзначити керування швидкістю сканування (швидкість, з якою сканер надсилає в мережу пакети).

Насамкінець зазначимо, що для використання даної утиліти в локальній мережі необхідно мати права мережевого адміністратора.

NEWT Professional v.2.0

Платформа: Windows 95/98/NT/2000/XP

Ціна:залежно від кількості підтримуваних ПК у мережі

Можливо, ми висловимо суб'єктивну думку, але, на наш погляд, з усіх розглянутих нами утиліт NEWT Professional v.2.0 (рис. 8) найфункціональніша. Втім, її важко розглядати як IP-сканер чи сканер портів. Скоріше це комплексний мережевий сканер, що дозволяє автоматизувати збір інформації про комп'ютери локальної мережі. Для системних адміністраторів, яким іноді доводиться займатися інвентаризацією мережі, він буде незамінним інструментом.

На жаль, на відміну від інших розглянутих нами утиліт, NEWT Professional v.2.0 є платною, а демо-версія програми має 30-денний термін дії та обмежену функціональність (наприклад, підтримується сканування лише 10 мережевих комп'ютерів).

OstroSoft Internet Tools v.5.1

Платформа: Windows 95/98/NT/2000/XP

Ціна: 29 дол.

Утиліта OstroSoft Internet Tools v.5.1 (рис. 9) є комплексним мережевим сканером, що включає 22 утиліти: Scan Wizard, Domain Scanner, Port Scanner, Netstat, Ping, Traceroute, Host Resolver, NS Lookup, Network Info, Local Info, Finger , FTP, HTML Viewer, Ph, Simple Services, TCP Clients, WhoIs, Connection Watcher, Host Watcher, Service Watcher, Mail Watcher, HTML Watcher.

По суті, Scan Wizard є одночасно IP-сканером і сканером портів і допускає досить гнучкі налаштування. Зокрема, можна задавати швидкість сканування, вводити діапазон IP-адрес, задавати діапазон портів, що скануються, вибирати тип сканування портів. Можна зберігати результати сканування. Варто відзначити, що за своїми швидкісними характеристиками даний сканер не відрізняється видатними можливостями, тому дослідження мережі класу С може зайняти в нього дуже багато часу.

Утиліта Domain Scanner дозволяє визначити ті хости всередині домену, які використовують ту чи іншу службу. Наприклад, поставивши адресу домену, можна з'ясувати, на яких комп'ютерах встановлений Web-сервер, Mail-сервер, FTP-сервер і т.д.

Утиліта Port Scanner - це сканер портів, але, на відміну від Scan Wizard, у цьому випадку йдеться про сканування окремого комп'ютера. Утиліта дозволяє задавати діапазон портів, що скануються, налаштовувати швидкість сканування і час timeout. Результатом сканування є не тільки список відкритих портів або портів у режимі очікування, але й відповідні служби або програми, а також короткий опис цих служб.

Утиліта Ping – це варіант використання команди ping, але з можливістю налаштування з використанням графічного інтерфейсу.

Traceroute - це варіант команди tracert з можливістю налаштування з використанням графічного інтерфейсу.

Утиліта Netstat дозволяє відображати інформацію про активні з'єднання локального комп'ютера.

Host Resolver визначає за мережевим ім'ям або URL-адресою IP-адресу, і навпаки.

Інші утиліти, інтегровані в пакет OstroSoft Internet Tools v.5.1, досить прості та не вимагають коментарів.

Варто зазначити, що OstroSoft Internet Tools v.5.1 є платним. Враховуючи, що існує безліч безкоштовних аналогів, які не поступаються даному пакету в плані функціональності, навряд чи OstroSoft Internet Tools v.5.1 зможе колись завоювати популярність. До того ж, демонстраційна версія програми має дуже обмежену функціональність і не дозволяє змінювати налаштування сканера.

3D Traceroute v. 2.1.8.18

Платформа: Windows 2000/2003/XP

Ціна:безкоштовно

Як випливає з назви цієї утиліти (рис. 10), її основне призначення - відстеження маршрутів проходження пакетів між вузлами в мережі. При цьому особливість цієї утиліти полягає в тому, що вона дозволяє будувати тривимірний графік затримок по всьому маршруту.

Утиліта не вимагає інсталяції на комп'ютер і, що не менш приємно, абсолютно безкоштовна.

Звичайно, нас насамперед цікавлять не так можливості побудови тривимірних графіків затримок, як інтегрований у цю утиліту сканер портів (рис. 11).

Мал. 11. Вбудований сканер портів 3D Traceroute v. 2.1.8.18

Сканер портів дозволяє задавати діапазони досліджуваних IP-адрес та сканованих портів. Назвати цей сканер швидкісним навряд чи можливо. Сканування мережі класу С на наявність відкритих портів в діапазоні 1-1024 займає у нього більше години. Крім того, як з'ясувалося в ході тестування, достовірність результатів, що видаються цим сканером, є дуже сумнівною. Зокрема, на всіх ПК у нашій тестовій мережі цей сканер наполегливо визначав порт 21 як відкритий, що не відповідало дійсності.

Крім вбудованого сканера портів, пакет 3D Traceroute має й інші вбудовані утиліти, які, втім, є стандартними і не мають відношення до теми мережевих сканерів. В цілому ж, незважаючи на те, що дана утиліта є безкоштовною, у порівнянні з іншими мережевими сканерами вона явно програє.



ПОХОДЖЕННЯ СТАТТІ